» Kerio WinRoute Firewall (часть 5)

gp7

Цитата:

Есть ли доступный анализатор логов для WinRoute кроме IAM v3.1 ?

Читай http://www.winroute.ru/forum/viewtopic.php?t=6568&highlight=proxy+inspector

JohnSilver182

Цитата:

но KERIO МАНИАКЛЬНО спрашивает логин и пароль . Хоть вводиш ЕРУНДУ логин 1, пароль 1 , тогда успокаиваетса !!!!

Потому, как наивысший приоритет имеет авторизация - то есть в настройках аутентификации нужно снять галку Требовать логин/пароль.

flayx

Цитата:

Господа, а как запретить/разрешить трафик определенному mac-адресу в сетке?
Может плохо искал?

Смотря а какой версии искал.... Вот к примеру в новой бете2 уже появилась возможность авторизации по MAC адресам - и, кстати, не плохо работает (проверено мной).


Добавлено:
gp7

Цитата:

KWF с маками не дружит - виндас

читаем новости

запутался в правилах помогите !

есть модем zyxel c wi-fi с него все adsl через vpn пользуються

я протянул кабель от модема в пк с обычной сетевой и wi-fi


проблема с vpn подключением adsl и какой порядок правил ?


задача раздать инет по wi-fi

модем роутинг не поддерживает нужно подключение создавать

adjuster

Цитата:

Смотря а какой версии искал.... Вот к примеру в новой бете2 уже появилась возможность авторизации по MAC адресам

версия 6.7.1 build 6399. На текущий момент последняя, и как понимаю, мак фильтр в ней отсутствует.
А когда у них обычно беты в билды перерастают? Не хотелось бы бету в бой пускать.

З.Ы. А можь аналог какой сторонний для мак фильтра есть?

Цитата:

Господа подскажите такой вопрос
Есть несколько серверов с керио апльянс, все соеденены между собой впн тунелями.
но есть два сервака, на которых инет не пропадает, все работает за исключением того, что
что трафик через впн тунель не проходит,
как будто блокируется,

после перезагрузки все начинает работать на ура


кто нибудь сталкивался с таким.

версии легальные 6.7.1

немного поломав голову, нашел интересную весчь
тунели так же пропадают но хоть нашел почему.
в кратце, в закладке "интерфесы" появляются сами по себе два новых PPPoE соединения.
причем в логах пишется, что основной PPPoE уходит в даун и законекчивается новый. причем это происходит со всеми PPPoE интерфейсами.
в новых не прописыны ни логин ни пароль, но они законекчиваются.
но что более странно, что после перегрузки все нормализуется
вот такие наблюдения
у кого нибудь было что-то подобное.

Kostyan262261

Цитата:

задача раздать инет по wi-fi
модем роутинг не поддерживает нужно подключение создавать

Честно говоря = ничего не понял из написанного - кто, куда, зачем и через кого?

flayx

Цитата:

версия 6.7.1 build 6399

Цитата:

мак фильтр в ней отсутствует.

Угу...

Цитата:

А когда у них обычно беты в билды перерастают? Не хотелось бы бету в бой пускать.

Обычно месяца 2-3 - и в бой )). Я последнюю бетку2 тестил на вин 2008 без доменной авторизации (пока) - ничего глючного не заметил, даже админка пошустрее открывается, чем на 6.5.0 - 6.6.0.


Цитата:

З.Ы. А можь аналог какой сторонний для мак фильтра есть?

Вроде через Бендвис лимитер можно это сделать (на avsoft.ru/forum можно статейку найти).


Цитата:

в новых не прописыны ни логин ни пароль, но они законекчиваются.
но что более странно, что после перегрузки все нормализуется

Это напоминает глюки на версии 6.6.0 - там тоже создавались клоны соединений... Лекарства так вроде и не нашли... Либо я что-то упустил.
Пробуй другую версию аплайнса.

Цитата:

Цитата:
в новых не прописыны ни логин ни пароль, но они законекчиваются.
но что более странно, что после перегрузки все нормализуется

Это напоминает глюки на версии 6.6.0 - там тоже создавались клоны соединений... Лекарства так вроде и не нашли... Либо я что-то упустил.
Пробуй другую версию аплайнса.

Дело в том что апльянс начался с версии 6.7.1

а она инсталирована изначально. пробывал накатывать даже бета версии 7 версии, та же фигня.
но что самое странное это только на двух серверах такое.
причем на одном серваке два ppoe соединения
а на другом вообще PPTP

Приветствую всех!!!
Вопрос в следующем...
В Kerio есть два интерфейса "дающих" интернет. Нужно сделать так чтобы одна группа пользователей пользовалась интернетом только по одному интерфейсу, а другая группа пользователей по другому. Возможно ли так настроить?

lostDaNDY

Цитата:

Возможно ли так настроить?

можно - через NAT на определенный интерфейс.

adjuster

А можно по подробней объяснить процедуру настройки? Или ссылку на руководство по настройке, если есть?

lostDaNDY
http://www.avsoft.ru/forum/read.php?FID=21&TID=2239

Гутен так. Напомните плз -
как ведет себя сабж в случае обнаруженного сканирования портов?
Пишет в логах страшилку - это помню, а что-то более практичное делает?

5555555

Цитата:

а что-то более практичное делает?

Неа. Ежели настраивал алерты, может ишшо на емелю кляузу отослать Дело в том (оно, кстати, об этом само в страшилке пишет), что это может быть обычная попытка ФТП-коннекта. Пассивного

Здравствуйте!
Такая проблема, в группе URL задал блокировку *gmail.com*. Настроил соответствующее правило. Все работает без проблем, однако если в адресной строке набрать httpS://gmail.com, то сайт открывается! Как заблокировать gmail.com и через https тоже?

Заранее благодарен!

5555555

Цитата:

Гутен так.

Цитата:

как ведет себя сабж в случае обнаруженного сканирования портов?

Зетц ойх
Все в поряде - он все-таки блочит эти сканы - конечно, если ТП правильно настроены.

Viewmax

Цитата:

однако если в адресной строке набрать httpS://gmail.com, то сайт открывается!

Ну если в HTTP политиках прописать вот такой шаблон:
https://*.gmail.com/*
https://gmail.com/*
ну или на крайний случай: http?://gmail.com

Господа, шо за прикол с керио 6.7.1 - во первых постоянно рвет соединение на АДСЛ -
ДСЛ лампочка горит а интернет то погаснет то загорится, скорость на 8Мбитном канале не в дугу, отключаю керио все работает нормально, скорость нормальная и не рвется конект,
и другая проблема - не могу нормально удалить а потом поставить по новой.
Для удаления приходится использовать сторонние утилиты.При инстале доходит до установки драйверов нижнего уровня и капец.(((
Систему токо переставил - 2003 сервак с АД+ДНС
Подсобите

MagistrAnatol
уже много лет дается первый и самый дельный совет
ставить керио на отдельный сервер (а не на сервак на котором контроллер домена крутиться)
пытаясь подружить на одном серваке (такое возможно но все равно гемор) и то и другое - вы себе не только интернет тормознете но и сам сервер и АД и базы данных

по поводу разрывов - страннно - керио не обладает таким функицоналом
куда больше похоже на то что при включении керио - из сетки кто то шлет шлишком много пакетов - нагружает канал и канал просто не выдерживает. естественно отрубая керио вы отрубаете и зловреда из сети...

Добавлено:
Version 6.7.1 Patch 2 (6.7.1 Сборка 6544) - March 9, 2010
- DNS did not work when VPN client ran on Mac OS X
- Software Appliance: Fixed: IP fragmentation now works correctly
- Fixed: Random crash in login to Administration web interface
- Fixed: Long URLs are now categorized by Kerio Web Filter
- Timezone database was updated
- Software Appliance: support for more network cards and hard drives was added
- Fixed: NTLM authentication works if user name contains national characters

Hrist
насчет установки на разные компы я знаю, но как говорят из-за нехватки
финансов имеем то что имеем.
По поводу пакетов - если поставлю ограничение как по умолчанию 600 штук - будет кырдык моему нету - шеф любит торенты качать - моно ограничить для отдельного юзвера?
И как определить какой юзвер валит пакетами?
А что по поводу переустановки??

Добавлено:
причем, раньше у меня таких проблем не было, я имею ввиду с пакетами

MagistrAnatol

Цитата:

шеф любит торенты качать

Ограничь у шефа на торрент-клиенте количество соединений (сделай не более 50). Этого хватит по заглаза. Иначе затыки с инетом будешь ловить постоянно.

и еще отключи (если uTorrent) uTP протокол нахрен - поскольку каждый посланный UDP пакет KWF считает как соединение, а таймаут там минут 8 -- то очень быстро он насчитает сотни подключений там где в торрент-клиенте используется реально 50-60 одновременных.

Да и провайдеры невзлюбили эту фичу, стараются резать.

по торентам ясно, всем пасиб, а как быть с переустановкой?

Подскажите кто знает, почему через каждые примерно 10-15 минут рвется ВПН соединение?

ОС Вин 7, Kerio WinRoute Firewall 6.7.1 Patch 2

adjuster

Цитата:

Зетц ойх
Все в поряде - он все-таки блочит эти сканы - конечно, если ТП правильно настроены.

шайсе.
Каким макаром он это делает? Это где-то видно визуально (типа бан-лист)? Блокируется обращения с айпи "атакующего"? Надолго? Если надолго, как вручную снять бклокировку? Данке.

5555555

Цитата:

Каким макаром он это делает? Это где-то видно визуально (типа бан-лист)? Блокируется обращения с айпи "атакующего"? Надолго? Если надолго, как вручную снять бклокировку? Данке.

Если включить лог на самом нижнем правиле (где блок всем и всему), то можно будет увидеть сбор этих блочных пакетов, если же видишь блок пакетов не по всем портам, значит выше есть правило, которое разрешает вход с удаленной машины (которая сканит) по этому порты на Firewall - следовательно нужно делать выводы и настраивать ТП.
А надолго ли - так это зависит от вносимых изменений в ТП - если ТП не менять, то навсегда.
Битте.

SHEVRSV
Пинг до сервера ровный? Сам сервер доступен регулярно? Служба не рестартует на сервере? На одном Пк или у всех?

Цитата:

Если включить лог на самом нижнем правиле (где блок всем и всему), то можно будет увидеть сбор этих блочных пакетов, если же видишь блок пакетов не по всем портам, значит выше есть правило, которое разрешает вход с удаленной машины (которая сканит) по этому порты на Firewall - следовательно нужно делать выводы и настраивать ТП.
А надолго ли - так это зависит от вносимых изменений в ТП - если ТП не менять, то навсегда.
Битте.

Это все понятно, т.е. я прально понимаю что вы предлагаете анализировать логи последнего правила в ТП и на основании этого анализа ручками вносить злой ип в типа блэклист, который блочить нужным правилом в ТП.
Если я не прально понимаю ход ваших мыслей подскажите плиз...

sw0rd

Цитата:

Это все понятно, т.е. я прально понимаю что вы предлагаете анализировать логи последнего правила в ТП и на основании этого анализа ручками вносить злой ип в типа блэклист, который блочить нужным правилом в ТП.
Если я не прально понимаю ход ваших мыслей подскажите плиз...

Нет, неверно.
В логах по последнему правилу отображаются уже заблоченные пакеты.

adjuster

Цитата:

значит выше есть правило, которое разрешает вход с удаленной машины (которая сканит) по этому порты на Firewall - следовательно нужно делать выводы и настраивать ТП

Это-то понятно. Но настраивать опять-таки вручную?
Упрощенно:
1. Открыт снаружи только вэб (80), всё остальное - режется.
2. Некое нехорошое начинает снаружи опрос 2000,1999,1998,...
3. Заблокирует ли этот хост керио самостоятельно, пока тот не добереться до 80-го или просто в лог предупреждений сбросит страшилку вида "возможное сканирование портов" (или как там).

5555555

Цитата:

Заблокирует ли этот хост керио самостоятельно

Естественно. Все, что явно (80 порт) не разрешено, то запрещено.

Цитата:

сбросит страшилку

Страшилка нуна тада, када сабж не может понять, зловред это, аль не. Поэтому оно не может самостоятельно принять решение о бане по ИП, как, например, при бане р2р клиентов. Вот оно и грит: "Барин, не пойму я чего эт за пакетики в меня бросают! Мож ломают, демоны?! Ты разберись, и накажи, если чо!"

andrejvb

Цитата:

Цитата:
Заблокирует ли этот хост керио самостоятельно
Естественно.

Нихера не заблокирует - даст сканеру определить открытый порт 80, к сожалению.

Цитата:

Пинг до сервера ровный?
Сам сервер доступен регулярно?
Служба не рестартует на сервере?
На одном Пк или у всех?

1. Да, пинг нормальный

Обмен пакетами с 10.0.65.000 по 32 байт:
[more]
Ответ от 10.0.65.000: число байт=32 время=4мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=3мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=18мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=18мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=19мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=11мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=18мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=18мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=3мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=3мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=18мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=3мс TTL=62
Ответ от 10.0.65.000: число байт=32 время=3мс TTL=62[/more]

2. Включен круглосуточно.
3. Нет
4. На всех

[more=Кусок лога][11/Mar/2010 17:54:17] VPN client 'oleynik' connected from 212.178.25.xxx
11/Mar/2010 18:13:46] VPN client 'admin' disconnected, connection time 00:30:20
[11/Mar/2010 18:14:18] VPN client 'oleynik' disconnected, connection time 00:20:01
[11/Mar/2010 18:17:48] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 18:18:14] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 18:29:18] VPN client 'oleynik' disconnected, connection time 00:11:04
[11/Mar/2010 18:29:54] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 18:50:57] VPN client 'oleynik' disconnected, connection time 00:21:03
[11/Mar/2010 18:51:32] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 19:00:33] VPN client 'oleynik' disconnected, connection time 00:09:01
[11/Mar/2010 19:00:47] VPN client 'admin' disconnected, connection time 00:42:59
[11/Mar/2010 19:01:19] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 19:01:32] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 19:12:32] VPN client 'admin' disconnected, connection time 00:11:00
[11/Mar/2010 19:12:33] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 20:05:19] VPN client 'oleynik' disconnected, connection time 01:04:00
[11/Mar/2010 20:05:32] VPN client 'admin' disconnected, connection time 00:52:59
[11/Mar/2010 20:06:19] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 20:06:24] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 20:11:20] VPN client 'oleynik' disconnected, connection time 00:05:01
[11/Mar/2010 20:11:25] VPN client 'admin' disconnected, connection time 00:05:01
[11/Mar/2010 20:12:18] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 20:12:32] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 20:14:18] VPN client 'admin' disconnected, connection time 00:02:00
[11/Mar/2010 20:14:32] VPN client 'oleynik' disconnected, connection time 00:02:00
[11/Mar/2010 20:15:05] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 20:15:10] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 20:42:04] VPN client 'oleynik' disconnected, connection time 00:26:59
[11/Mar/2010 20:42:19] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 20:55:31] VPN client 'admin' disconnected, connection time 00:40:21
[11/Mar/2010 20:56:20] VPN client 'oleynik' disconnected, connection time 00:14:01
[11/Mar/2010 20:56:55] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 20:57:07] VPN client 'oleynik' connected from 212.178.25.xxx
[11/Mar/2010 21:05:08] VPN client 'oleynik' disconnected, connection time 00:08:01
[11/Mar/2010 21:31:55] VPN client 'admin' disconnected, connection time 00:35:00
[11/Mar/2010 21:33:08] VPN client 'admin' connected from 10.0.184.xxx
[11/Mar/2010 21:48:09] VPN client 'admin' disconnected, connection time 00:15:01
[/more]